ACG 行为审计功能典型配置

H3C ACG 流日志以及行为审计功能实验指导1 实验内容与目标完成本实验，您应该能够：●熟悉ACG Manager的使用；●掌握ACG流日志配置；●能够进行行为审计功能配置；2 应用场合流日志以及行为审计特性要结合ACG Manager才能正常使用。

3 实验使用软件ACG的测试版本以实际提供的ACG软件版本和特征库版本为准。

WEB服务器小软件：WEBSever；FTP服务器软件：3CDaemon；FTP客户端软件：flashfxp.exe4 实验组网图图1 实验组网图5 配置步骤5.1.1 ACG Manager安装及基本配置1) ACG Manager安装前的准备工作1、由于Manager软件安装后要占用80端口，请确保当前PC没有开启WWW服务（参考3.6常见问题3.6.1）。

2、安装前请调整所安装的PC的时间和时区正确，在安装后请不要进行时间和时区的调整！否则会造成有效的license却提示过期的问题2) ACG Manager安装ACG Manager安装很简单，按默认的<下一步>，直到完成安装即可。

！注意：安装完成后，需重启电脑。

3) ACG Manager配置在IE地址栏里输入本机的IP地址，即可访问ACG Manager。

登录的用户名和密码为admin/admin1，登录后，在<设备与系统管理>页面，添加对应的ACG设备：图1 ACG Manager 登录界面图2 添加ACG设备如果添加的ACG不在线，ACG Manager会提示找不到设备，添加ACG前请确认ACG 是否在线。

ACG和ACG Manager最好在同一网段，如果不在同一网段，需要在ACG上配置路由使ACG 管理口和Manager可达。

[H3C]ip route-static 0.0.0.0 0 192.168.0.15.1.2 ACG 配置1、调整ACG的系统时区和时间与安装Manager软件的PC机一致。

H3C上网行为管理解决方案网络应用层出不穷，在大大提升了用户的工作效率的同时，也带来一些负面影响，主要有以下难题困扰着用户：用户通过P2P下载电影造成网络速度变慢，访问非法网站易感染病毒，怎么保证网络的正常应用用户访问色情、反动网站，如何监控用户工作时间炒股、打游戏、聊天造成工作效率的下降，怎么解决公安部第82号令要求记录用户上网相关信息和NAT转换前后的IP地址，实现用户行为的审计，如何实现H3C行为监管解决方案能彻底解决以上问题，是业界应用识别最全面的解决方案，方案由应用控制网关和安全管理平台组成。

应用控制网关有SecPath ACG盒式设备和SecBlade ACG插卡（应用于H3C S75E/S95核心交换机）两种产品形态，ACG可针对P2P/IM、网络游戏、炒股、非法网站访问等行为，进行精细化识别和控制，有效解决带宽滥用、访问非法网站感染病毒等问题；安全管理平台有SecCenter硬件设备和ACG Manager管理软件两种产品形态，对应用控制网关检测出的网络安全事件进行深入分析并输出审计报告，同时收集防火墙发送的NAT日志，帮助管理员全面了解用户行为和流量趋势，为加强整网安全、满足合规性要求提供决策依据。

典型组网图1主要特点最全面的P2P/IM应用控制通过在ACG应用控制网关，可精确识别BT、电驴、迅雷、MSN、QQ、Yahoo Messenger、PPLive等近百种P2P/IM应用，可基于时间、用户、区域、应用协议，通过告警、限速、阻断等手段进行灵活控制，保证网速的正常和业务不被影响。

用户非法行为管理ACG应用控制网关采用先进的分析技术，能对网络多媒体、网络游戏、炒股等应用进行识别与控制，提高员工工作效率。

通过URL过滤等访问控制策略，控制非法应用，过滤非法网站，规范用户上网行为。

网络与安全的深度融合基于H3C在网络及安全领域的深厚技术积累，用户可选择在核心交换机中增加SecBlade ACG模块，在提供完善的网络应用控制功能的同时，无需单独部署独立的安全设备，简化网络结构，便于用户管理，真正实现安全与网络的深度融合。

网络行为审计nba（Network behavior auditing NBA）网络行为审计，网络行为审计，国外更多的叫做网络行为分析（网络行为分析），网络行为异常检测（NBAD，网络行为异常检测）。

这是一个新生事物，即便国外，出现的年头也不长。

无论怎么称呼，其目的都是通过分析网络中的数据包、流量，借助协议分析技术，或者异常流量分析技术，来发现网络中的异常和违规行为，尤其是那些看似合法的行为。

并且，有的产品在该技术上进行扩展，还具有网络行为控制、流量控制的功能。

网络行为审计是安全审计中较为重要的一种技术实现，其他安全审计技术还包括日志审计技术、本机代理审计技术、远程代理审计技术，具体可以参见这个文章。

NBA的实现有多种方式，其中有两个最重要的分支：基于*流流量分析技术的NBA：通过收集网络设备的各种格式的流日志来进行分析和审计，发现违规和异常行为，传统的网管厂商很多开始以此为进入安全的切入口；而安全厂商则将其归入的范畴。

基于抓包协议分析技术的NBA：通过侦听网络中的数据包来进行分析和审计，发现违规和异常行为，传统的安全厂商很多以此作为进入审计领域的切入点。

基于抓包协议分析技术的NBA抓包型NBA技术及产品类型说明抓包型网络行为审计（NBA）根据用途的不同、部署位置的不同，一般又分为两种子类型。

上网审计型：审计网络内部用户访问互联网的行为和内容、防止内部信息泄漏、用户违规行为，提升内部网络用户互联网上网行为的效率。

业务审计型：对网络中重要的业务系统（主机、服务器、应用软件、数据库等）进行保护，审计所有针对业务系统的网络操作，防止针对业务系统的违规操作和行为，提升核心业务系统的网络安全保障水平，尤其是信息和数据的安全保护能力，防止信息泄漏。

从上面按用途划分的定义可以看出，他们是两类不同的产品。

上网审计的对象是用户及其上网行为，而业务审计的对象是核心业务系统及其远程操作。

正因为如此，他们部署的位置有所不同。

黑盾网络行为审计系统1、黑盾网络行为审计系列产品HD-SMS 每点260元HD-SMSE 每点320 元2、黑盾网络行为审计系统功能特点HD-SMS内网安全管理系统基于 C/S 的安全管理架构，产品操作界面友好HD-SMS内网安全管理系统从安全性的角度出发，采用 C/S 的管理架构，整个系统为三层架构，管理控制方便灵活，并且客户端与服务器，服务器与控制台之间加密传输，保证管理员权限和管理通道的合法性；操作界面基于 Windows 的管理界面，易于操作，界面友好。

服务器安装方便、易于维护HD-SMS内网安全管理系统安装过程十分简单，只需将产品安装完毕即可，不需要复杂的调试，易于管理员的日后安装、维护。

分权管理完善的分级与分权管理机制，实现系统管理的“分散不分立、集中不集权”；具有强大的网络管理功能HD-SMS内网安全管理系统内嵌强大的网络管理功能，在支持公有可网管 SNMP 协议的交换机网络环境中，可以自动学习出内网的物理拓扑图，检测交换机的流量，对交换机的物理端口进行打开、关闭、设置阀值的操作；对故障机器进行物理定位，使管理员对于内网中的机器分布一“图”打尽。

网络与主机的完美结合HD-SMS内网安全管理系统开拓思路，使得网络管理功能、桌面管理功能互相配合，既关注了桌面管理，又注重局域网的整体性能，实现网络与主机的完美结合。

强大的补丁更新功能系统能够支持对Windows 所有的产品家族进行补丁检测和补丁下载与安装工作。

拓宽了补丁管理的应用范围。

支持补丁测试功能，在大规模部署补丁之前可以在小范围内测试，防止错误的补丁对全网造成的破坏与冲击。

支持补丁的分级部署与同步功能，下级补丁服务器可以从上游服务器、公司网站或者微软升级网站下载补丁文件。

支持补丁分发的负载均衡，不同主机可以从不同 FTP 服务器下载补丁文件。

灵活的网络连接和流量控制监控终端主机网络流量，当超过设置的阀值后，系统自动断网直到网络流量降低到设定阀值以下后，系统自动恢复网络连接。

浙江理工大学科技与艺术学院行为审计系统拓扑实施方案：1、两台行为审计系统AC9000都采用旁路镜像模式，需要在出口交换机上分别将下沙专网、校园网出口上下行数据都镜像到审计系统。

镜像口采用万兆SFP多模模块，两台设备各用两个模块。

AC9000-1用于审计下沙校区互联链路数据，需要在出口互联交换机（C9396x）上把到下沙校区的所有端口的上下行数据镜像到AC，交换机配置两个观察端口，用于系统冗余备份，防止其中一个端口断开之后采集不到数据。

AC9000-2用于审计4台出口路由器(H3C 5560)数据，需要在出口互联交换机（C9396x）上把到4台路由器的所有端口的上下行数据镜像到AC，交换机配置两个观察端口，用于系统冗余备份，防止其中一个端口断开之后采集不到数据。

2、提供两个管理ip，分别配置在两台设备上，用于设备的管理和日志的查看，以及设备特征库的更新，这两个ip需要能访问互联网。

管理网口使用网线连接有线网核心交换机C9504。

AC9000-1 IP 192.168.168.20 子网掩码255.255.255.0 网关192.168.168.254 AC9000-2 IP 192.168.168.21 子网掩码255.255.255.0 网关192.168.168.2543、需要提供学校内网ip地址段、服务器ip地址段4、提供一台服务器，用于部署外置数据中心，将两台设备的日志同步到外部，做日志数据的归档和查询。

服务器要求：CPU至强E5 以上，内存16G以上，硬盘4T以上，操作系统windows server 2008 r2 64位，需要配置ip，并且要能够和两台AC的管理口正常通信。

5、实施时间，网络核心及出口互联联调测试成功之后，预计1天时间。

设备安装位置：根据【校园网络信息中心机房计算机网络系统图（1）】，设备部署在A17、A18两个机柜，设备为2U高度，上下各空出1U空间用于散热，每个机柜需要占用4U空间。

ACG插卡旁路协议审计（行为审计）配置案例一、组网需求用户要求以旁路方式接入ACG插卡，同时对内网用户上网数据进行行为审计。

测试版本：S7503E：Release 6616P05、ACG插卡：Ess 6117P08、SecCenter：2.10-E0031 二、组网图三、配置步骤S7503E主要配置：#clock timezone China add 08:00:00 //设置交换机时区#dns proxy enable //开启交换机dns代理功能，担零时dns服务器ip host 172.16.1.1ip host 172.16.1.1#mirroring-group 1 local //配置本地端口镜像组1#acsei server enable //使ACG插卡可以和交换机同步时间和时区#vlan 10#vlan 500#interface Vlan-interface10 //内网网关ip address 192.168.10.1 255.255.255.0#interface Vlan-interface500ip address 172.16.1.2 255.255.255.0#interface GigabitEthernet2/0/2 //将网外到内网的数据镜像port link-mode bridgeport access vlan 10mirroring-group 1 mirroring-port outbound#interface GigabitEthernet2/0/24 //将内网到外网的数据镜像port link-mode bridgeport access vlan 500mirroring-group 1 mirroring-port outbound#interface Ten-GigabitEthernet3/0/1 //ACG插卡所在内敛接口接收镜像数据port link-mode bridgemirroring-group 1 monitor-port#ip route-static 0.0.0.0 0.0.0.0 172.16.1.1ACG插卡主要配置截图：1、在“系统管理—设备管理—系统信息”中查看ACG时间已和S7503E时间同步2、在“系统管理—设备管理—工作模式”中改为旁路模式3、在“系统管理—设备管理—OAA设置”中去除使能4、在“系统管理—网络管理—安全区域”中创建inside和outside两个安全域5、在“系统管理—网络管理—段配置”中创建段106、在“协议审计—策略管理”中新建策略，名称“行为审计”7、在“协议审计—规制管理”中使用默认策略即可8、在“协议审计—段策略管理”中将策略下发9、在“系统管理—动作管理—通知动作列表”中设置syslog主机服务器，让后将策略激活。

游戏运营审计方案一、背景介绍随着互联网技术的发展，游戏行业已经成为一个庞大而蓬勃发展的产业。

而游戏运营审计作为游戏行业的重要环节之一，在游戏发行及运营过程中发挥着不可替代的作用。

游戏运营审计是对游戏运营数据、运营成本及效益等进行全面审计的一项重要工作。

二、审计目的游戏运营审计的目的是为了监督游戏运营财务活动的合法性和效益，并通过发现问题和风险，提出改进建议，为企业的长期发展保驾护航。

具体包括以下几个方面：1、对游戏运营成本和效益进行监督和评估，为提高效益和降低成本提供依据。

2、确保游戏运营活动的合法合规，保障企业的合法权益。

3、为企业的管理层提供决策依据，帮助他们更好地进行战略规划和资源配置。

三、审计内容游戏运营审计的内容主要包括以下几个方面：1、游戏运营数据审计：审计游戏运营数据的真实性和完整性，包括用户活跃度、付费用户比例、游戏收入等。

2、游戏运营成本审计：审计游戏运营的各项成本，包括开发成本、推广成本、运营成本等。

3、游戏运营风险审计：审计游戏运营中存在的风险，包括法律风险、市场风险、技术风险等。

4、游戏运营效益审计：审计游戏运营的效益，包括盈利能力、用户满意度、品牌价值等。

四、审计方法游戏运营审计的方法主要包括以下几种：1、数据分析法：通过对游戏运营数据的分析，发现存在的问题和潜在的风险。

2、实地调研法：通过对游戏运营实际情况的实地调研，了解运营活动的真实情况。

3、专家咨询法：邀请游戏运营领域的专家参与审计工作，提供专业的意见和建议。

4、案例比较法：通过与同行业的其他游戏进行比较，找出自身存在的问题和不足之处。

五、审计流程游戏运营审计的流程主要包括以下几个环节：1、确定审计目标：明确审计的具体目标和内容，制定审计方案。

2、数据采集：收集游戏运营数据和相关资料，进行整理和归档。

3、数据分析：对采集到的数据进行分析，发现存在的问题和风险。

4、问题解决：提出改进措施，解决问题和风险。

5、报告撰写：编写审计报告，向企业管理层提出建议。

1. 使用简介(1) 将“ACG Demo_200907.rar”文件解压缩。

(2) 使用步骤：●通过IE浏览器打开“index.jsp.htm”文件（为最佳效果，请勿使用其他浏览器）●在登录页面上，设置“允许阻止的内容”为允许，用户名/密码为：admin/admin1。

●通过在横向的“带宽管理”、“行为审计”、“系统管理”介绍。

2. 重点演示功能说明SecCenter ACG Manager作为ACG的集中分析管理软件平台，提供基于应用的流量分析与审计、设备等集中管理；该Demo演示内容包括：(1) 全中文化、B/S架构，无须另安装任何组件、数据库、代理等，非常易于管理及使用；(2) 带宽管理：基于应用层的流量管理基于“特征库+ 流量模型”识别（非通过端口号识别），可识别出MPLS、PPPoE、L2TP、GRE等封装报文，所有报表清晰、层次性强、关联性强！●网络流量快照：实时分析、全面识别各种P2P（包括加密P2P）价值：可实时（30s刷新一次）分析到用户网络中各种应用的分布、流量大小、流量比例等，将流量可视化；一方面可分析是否存在异常应用（如P2P流量过高）、非法应用（如存在炒股软件）、异常用户（某用户流量异常高）等，快速分析、排查问题，另一方面可为流量控制、网络规划提供数据支撑。

如通过“区域”（如分布式的某一设备）、“段”（某桥组或桥组组合）、历史统计时间、流向、Top用户等的实时查询分析，更新时间可通过“自动刷新”设置（Demo版本功能失效）。

●区域业务分析：高识别率、精细分析价值：对历史较长的一段时间流量进行层次化地精细分析，可按上行/下行、段（某桥组或桥组组合）了解到内网应用流量的趋势、分布组成（饼图）。

各种查询方式（按用户、趋势、饼图）等，提供关联查询（点击右上链接），方便查询。

可为整体流量控制（如根据时间的流量趋势图，制定相应的流量控制策略）、未来网络规划提供数据支撑。

●用户业务分析：统计清晰、可定制用户监控价值：了解网络内用户的流量汇总，包括Top用户、流量明细、实时用户流量分析、会话明细统计，可按区域、应用业务、上行/下行、统计周期、时间等多纬度监控。

{财务管理内部审计}用户行为审计组件介绍iMCUBA用户行为审计组件产品详细介绍产品概述iMCUBA用户行为审计组件通过与多种网络设备共同组网，用来对终端用户的上网行为进行事后审计，追查用户的非法网络行为，满足相关部门对用户网络访问日志进行审计的硬性要求。

UBA用户行为审计组件提供NAT1.0日志、FLOW1.0日志、NetStreamV5日志、DIG日志的查询审计功能，网络管理员可以根据网络日志对上网用户的网络行为进行审计。

产品特点全面的日志采集UBA用户行为审计组件可支持多种网络日志的采集（包括NAT1.0、FLOW1.0、NetStreamV5），对于不支持上述日志的设备，可以通过设备的镜像端口或TAP 分流器采集网络流量生成DIG格式的日志。

分布式部署。

UBA用户行为审计组件采用分布式的体系结构，支持多点采集，统一Web界面审计分析，可以同时采集多个设备的日志信息，为网络管理员监控网络提供了灵活有效的支持。

强大的日志审计功能UBA用户行为审计组件可根据用户需要，通过接入用户名、上网时间、用户访问网页的URL、ftp操作文件及发送邮件的主题等各种条件的组合对网络日志进行快速审计，并对审计结果提供灵活的排序、分组、保存等功能。

网络管理员可以从海量的网络日志中精确审计终端用户的上网行为。

终端用户何时访问了某网站、何时访问了某网页、发送了哪些Email、向外发送了哪些文件等信息均可通过日志审计得出结果，日志审计包括：通用日志审计：审计内容包括接入用户名、用户上网起止时间、来源/目的IP地址、来源/目的端口、使用的协议及应用名。

Web访问审计：审计内容包括接入用户名、用户上网起止时间、来源/目的IP地址、端口、用户访问的站点、用户访问的网页等。

文件传输审计：审计内容包括接入用户名、用户传输文件起止时间、来源/目的IP地址、端口、ftp用户名、传输文件名、传输方式（上传/下载）等。

邮件审计：审计内容包括接入用户名、邮件发送时间、来源/目的IP地址、发件人、收件人、邮件主题等。

审计与理财2017.5在国土审计中运用的实例■董子恒一、地理信息技术在国家审计中应用的必要性运用地理信息技术进行审计是推进审计信息化建设的重要抓手。

一是通过对收集的地理信息数据经过加工、整理和整合,可以为审计工作提供通用的数据资源,推进审计机关数据资源建设;二是通过丰富传统的审计信息化技术手段,可以为审计工作提供必需的技术支撑,避免审计人员面临新业务数据时出现进不了门、无数据可审的局面。

二、国土资源信息管理情况1.国土资源信息管理基本情况。

国土资源信息管理中主要采用Map －i n f o 、Map GI S 、ArcGI S 等地理信息系统软件结合关系数据库SQLServe r 、Oracl e 等进行管理,即在某一地理信息平台下建立土地利用数据库,其中包括土地利用矢量数据DL G 、土地利用更新调查所用的航片数据DOM (即正射影像、数字高程模型DE M 、元数据等数据,然后在此数据库平台上实现国土资源信息管理。

土地和地籍管理涉及土地使用性质变化、地块轮廓变化、地籍权属关系变化等许多内容,借助GI S 技术可以高效、高质量地完成这些工作。

2.acg i s 软件介绍。

Acg i s 软件是由美国E sri 公司为构建完善的GI S 系统,提供了一套完整的软件产品。

而其中图斑对比功能,在国土审计中起到了很好的辅助作用。

三、A c g is 图斑对比在国土审计中应用的具体方面1.城市规划与土地利用现状总体规划不衔接的问题。

依据《中华人民共和国土地管理法》第二十二条“……城市总体规划、村庄和集镇规划,应当与土地利用总体规划相衔接,城市总体规划、村庄和集镇规划中建设用地规模不得超过土地利用总体规划确定的城市和村庄、集镇建设用地规模……”的规定,核实城市规划中建设用地规模突破土地利用总体规划中建设用地规模的数量,将土地利用总体规划建设用地地类图斑和城市总体规划中的中心城区图(CAD 图或矢量数据)进行叠加比对,通过acg i s 地理处理中的裁剪、相交等功能,自动计算出建设用地突破规模的面积。

使用审计日志监控权限管理操作在现代信息化社会中，数据的安全性和保密性显得尤为重要。

企业和组织所管理的数据中，包含着各种敏感信息和商业机密，因此对数据的权限管理显得尤为重要。

为了确保数据的安全，很多公司会采取审计日志监控权限管理操作的方法，以实时追踪和记录员工对数据权限的操作情况。

本文将从审计日志监控权限管理操作的必要性、实施方法和效果评估三个方面进行论述。

一、审计日志监控权限管理操作的必要性权限管理操作包括对数据进行访问、修改和删除等操作。

然而，未经授权的访问或者滥用权限很可能导致数据泄露、篡改或者损坏等安全问题。

因此，利用审计日志监控权限管理操作能够实时记录员工对数据的操作情况，及时发现和处理违规行为。

审计日志还可以作为法律证据，提供给相关部门调查使用，有助于维护企业和组织的合法权益。

二、实施方法审计日志的监控需要通过技术手段来实现。

首先，需要开启系统、数据库或者应用软件的审计日志功能。

然后，通过技术手段对审计日志进行定期或者实时的收集和分析。

这可以通过使用专门的审计日志监控软件或者利用安全信息与事件管理系统（SIEM）实现。

确保审计日志的完整性和真实性至关重要，因此需要对审计日志进行加密和存储备份，以免被未经授权的人篡改或者删除。

三、效果评估审计日志监控权限管理操作能够有效地增强企业和组织对数据权限的控制。

首先，通过审计日志的实时监控可以及时发现并阻止未经授权的访问或滥用权限行为。

其次，审计日志可以作为追溯工具，对权限操作的记录可供事后审计和分析使用，发现潜在的问题并及时纠正。

最后，利用审计日志可以对系统的安全性进行评估，发现并修复系统中存在的潜在安全隐患，提高整体的安全水平。

然而，审计日志监控权限管理操作也会存在一些挑战和难点。

首先，由于大量的操作记录，审计日志的分析和处理工作会相对繁琐和耗时。

其次，确保审计日志的完整性和真实性需要投入一定的技术和人力资源。

最后，审计日志的监控可能会对系统性能产生一定影响，需要在安全性和性能之间进行平衡考虑。

H3C ACG 流日志以及行为审计功能实验指导1 实验内容与目标完成本实验，您应该能够：●熟悉ACG Manager的使用；●掌握ACG流日志配置；●能够进行行为审计功能配置；2 应用场合流日志以及行为审计特性要结合ACG Manager才能正常使用。

3 实验使用软件ACG的测试版本以实际提供的ACG软件版本和特征库版本为准。

WEB服务器小软件：WEBSever；FTP服务器软件：3CDaemon；FTP客户端软件：flashfxp.exe4 实验组网图图1 实验组网图5 配置步骤5.1.1 ACG Manager安装及基本配置1) ACG Manager安装前的准备工作1、由于Manager软件安装后要占用80端口，请确保当前PC没有开启WWW服务（参考3.6常见问题3.6.1）。

2、安装前请调整所安装的PC的时间和时区正确，在安装后请不要进行时间和时区的调整！否则会造成有效的license却提示过期的问题2) ACG Manager安装ACG Manager安装很简单，按默认的<下一步>，直到完成安装即可。

！注意：安装完成后，需重启电脑。

3) ACG Manager配置在IE地址栏里输入本机的IP地址，即可访问ACG Manager。

登录的用户名和密码为admin/admin1，登录后，在<设备与系统管理>页面，添加对应的ACG设备：图1 ACG Manager 登录界面图2 添加ACG设备如果添加的ACG不在线，ACG Manager会提示找不到设备，添加ACG前请确认ACG 是否在线。

ACG和ACG Manager最好在同一网段，如果不在同一网段，需要在ACG上配置路由使ACG 管理口和Manager可达。

[H3C]ip route-static 0.0.0.0 0 192.168.0.15.1.2 ACG 配置1、调整ACG的系统时区和时间与安装Manager软件的PC机一致。

网络及安全产品部-H3C ACG产品一纸阐H3C ACG产品一纸阐一、ACG产品定位ACG定位为流控产品。

其行为审计功能是扩展功能，该功能可作为与友商的流控产品竞争时的差异化特性，但不能作为专业的行为审计产品主推该功能。

二、ACG的应用场景和价值1、园区网出口：对访问互联网的滥用流量的限制与监管。

2、广域网2.1广域网应用可视化，为广域网带宽问题排查和带宽优化提供直观依据2.2基于应用的关键业务的广域网带宽保证2.3 限制广域网滥用流量2.4通过ACG基于应用的优先级改写，实现广域网基于应用的整网QoS联动三、ACG产品特色优势1、高性能：可提供最高到20G的超万兆的流控能力，满足运营商骨干、大型校园出口等场景的流控需求。

2、具有多项国家专利的加密P2P识别技术：在加密P2P识别领域申请了10余项国家专利，加密P2P识别技术业界领先。

3、拥有业界协议数量最多的协议特征库：目前能识别的应用协议超过3000多种，协议特征库包含的协议类型广、识别精度高。

4、业界最快的协议特征库更新机制：专业的应用协议跟踪和研究团队，每两周发布协议特征库升级包，更新频率业界最快。

5、智能的广域网带宽优化机制：可识别广域网上各种常用业务，如Notes等办公业务、电力调度业务、Oracle等数据库业务、视频会议、SNMP等网管业务；并提供自定义协议接口，可根据客户自身应用的负载特征和交互特征自定义应用协议。

在识别出各种广域网业务的基础上，ACG可对关键业务进行带宽保证，对其他业务按优先级进行智能流量调度。

五、ACG典型案例：福建邮政广域网流控福建邮政广域网覆盖了全省每个地市，承载了邮政的生产、办公、视频会议等业务；10多台ACG部署在所有地市和总部的广域网出口，ACG有效识别出了广域网上的各种应用，对生产和视频会议业务进行了带宽保证、对网络滥用流量进行了限制，同时对各种业务都按不同优先级进行调度，很好地解决了之前因广域网不畅而影响邮政生产业务的问题。

H3C 上网行为管理解决方案网络应用层出不穷，在大大提升了用户的工作效率的同时，也带来一些负面影响，主要有以下难题困扰着用户：用户通过 P2P 下载电影造成网络速度变慢，访问非法网站易感染病毒，怎么保证网络的正常应用用户访问色情、反动网站，如何监控用户工作时间炒股、打游戏、聊天造成工作效率的下降，怎么解决公安部第 82 号令要求记录用户上网相关信息和NAT转换前后的IP 地址，实现用户行为的审计，如何实现H3C 行为监管解决方案能彻底解决以上问题，是业界应用识别最全面的解决方案，方案由应用控制网关和安全管理平台组成。

应用控制网关有SecPath ACG 盒式设备和SecBlade ACG 插卡（应用于H3C S75E/S95 核心交换机）两种产品形态，ACG 可针对 P2P/IM 、网络游戏、炒股、非法网站访问等行为，进行精细化识别和控制，有效解决带宽滥用、访问非法网站感染病毒等问题；安全管理平台有SecCenter 硬件设备和ACG Manager 管理软件两种产品形态，对应用控制网关检测出的网络安全事件进行深入分析并输出审计报告，同时收集防火墙发送的 NAT 日志，帮助管理员全面了解用户行为和流量趋势，为加强整网安全、满足合规性要求提供决策依据。

典型组网图 1主要特点最全面的 P2P/IM应用控制通过在 ACG 应用控制网关，可精确识别 BT 、电驴、迅雷、MSN 、QQ 、Yahoo Messenger、PPLive 等近百种 P2P/IM 应用，可基于时间、用户、区域、应用协议，通过告警、限速、阻断等手段进行灵活控制，保证网速的正常和业务不被影响。

用户非法行为管理ACG 应用控制网关采用先进的分析技术，能对网络多媒体、网络游戏、炒股等应用进行识别与控制，提高员工工作效率。

通过 URL 过滤等访问控制策略，控制非法应用，过滤非法网站，规范用户上网行为。

网络与安全的深度融合基于 H3C 在网络及安全领域的深厚技术积累，用户可选择在核心交换机中增加SecBlade ACG 模块，在提供完善的网络应用控制功能的同时，无需单独部署独立的安全设备，简化网络结构，便于用户管理，真正实现安全与网络的深度融合。